IDS IPS v2.1 PDF
Document Details
Uploaded by AffirmativePlum
Colegio Valle del Miro
Tags
Related
- Chapter 7 - 04 - Understand Different Types of IDS-IPS and their Role - 11_ocred PDF
- Chapter 7 - 04 Network Security Controls - Technical Controls PDF
- IDS/IPS Limitations PDF
- Chapter 7 - 04 - Understand Different Types of IDS-IPS and their Role PDF
- CSEC3002 Cyber Physical Systems Security Lecture PDF
- 4.5 Modify Enterprise Capabilities to Enhance Security PDF
Summary
This document provides information about Intrusion Detection Systems (IDS) and Intrusion Prevention Systems (IPS), focusing on the use of Snort. It includes practical examples of its use. Information about different aspects of networks security are also given.
Full Transcript
9.3 Detección y Prevención (IDS/IPS) Índice de Contenidos 1. Introducción y Conceptos 2. Prácticas Snort como IDS 3. Snort como IPS Detección y Prevención – Introducción y Conceptos • IDS – Intrusion Detection System. Sistema de Detección de Intrusiones. Este sistema permite analizar y superv...
9.3 Detección y Prevención (IDS/IPS) Índice de Contenidos 1. Introducción y Conceptos 2. Prácticas Snort como IDS 3. Snort como IPS Detección y Prevención – Introducción y Conceptos • IDS – Intrusion Detection System. Sistema de Detección de Intrusiones. Este sistema permite analizar y supervisar el tráfico de una red, en busca de señales que indiquen que los atacantes están utilizando una amenaza conocida para infiltrarse o robar datos de su red. Por lo general, además de instalar un IDS las empresas suelen instalar y mantener una base de datos de amenazas conocidas y comparar la actividad actual de la red con dichas amenazas para detectar diferentes tipos de comportamientos, tales como violaciones de políticas de seguridad, malware y escaneo de puertos. • IPS – Intrusion Prevention System. Sistema de Prevención de Intrusiones. La ubicación habitual de este sistema es la misma área de red en la que está situado el cortafuegos, esto es, entre la red externa y la red interna. A diferencia del IDS, que sólo es un monitor, el IPS bloquea proactivamente el tráfico en función de las reglas establecidas en el perfil de seguridad, siempre y cuando el paquete en cuestión pueda suponer una amenaza conocida para la seguridad del entorno. 3 Detección y Prevención – Snort - IDS & IPS de Código Abierto • Snort es el sistema de Detección y Prevención de intrusiones de código abierto más utilizado, tanto en el ámbito privado como en el empresarial. • Contiene un motor de reglas que permite definir las actividades a detectar, sean maliciosas o no, para después identificar posibles paquetes que cualifiquen con dichas reglas, generando a continuación alertas para los usuarios de la red. • Snort tiene pues tres funciones principales: • Rastreo de paquetes • Registro de paquetes para notificación online y análisis offline • Prevención de intrusiones en la red con base en las amenazas conocidas 4 Escenario de la Práctica Snort - IDS Máquina Atacante Se generan diccionarios con base en la información obtenida con Ingeniería Social Para efectuar la práctica IDS se dispondrá de dos máquinas: • La máquina atacante, que será un Kali Linux en el que se utilizarán Ping e Hydra. Snort detecta y registra el ataque Máquina IDS • La máquina objetivo, que será un Raspbian en el que configuraremos Snort para detectar y registrar los ataques. Se lanza una batería de ataques con diferentes herramientas y con todos los diccionarios HYDRA 5 Preparación de la Máquina Atacante Máquina Atacante • Para la máquina atacante se preparará un escenario sencillo basado en Kali Linux. • Pistas de ingeniería social. Se sabe que el usuario está compuesto por dos letras minúsculas, y su clave por una letra minúscula y un número. • Con base en las pistas de ingeniería social, se generarán dos diccionarios de usuarios y claves necesarios para el ataque. En caso de no aportar diccionarios, el ataque se efectuaría por Fuerza Bruta y se podría eternizar. • Se conoce la dirección de la máquina a atacar, por lo que primero se comprobará con ping (ICMP) si la máquina está operativa. • Hecho esto, se atacará mediante Hydra y con protocolo ssh. 6 HYDRA Generación de Diccionario de Usuarios • Hydra necesita un diccionario de usuarios y otro de claves. Si se invoca con estos dos diccionarios por separado, efectuará el ataque combinando cada uno de los usuarios del primer fichero con todas las claves del segundo fichero, por lo que el número de ataques se multiplicará considerablemente. • Tomando como base la primera pista de ingeniería social, generaremos con crunch un diccionario que contendrá todas las combinaciones posibles de dos letras minúsculas (676). 7 Generación de Diccionario de Claves • A continuación, tomando la segunda pista de ingeniería social, generaremos con crunch un diccionario que contendrá todas las combinaciones posibles de una letra minúscula y un número (260). • En caso de no querer utilizar diccionarios de usuarios y claves por separado, también se puede utilizar un diccionario combinado con el formato usuario:clave, no obstante, esto reduce muchísimo el número de combinaciones y sólo se debe utilizar cuando se tenga mucha precisión en las pistas de ingeniería social. 8 Comprobación Objetivo Up & Running • Comprobamos si la máquina objetivo está operativa mediante un ping. • Acto seguido, vemos qué puertos tiene activos mediante nmap, y en qué puerto está a la escucha el protocolo ssh, que será el que utilizaremos para atacar con hydra (normalmente será el puerto 22, pero puede haberse modificado). 9 Ejecución del Ataque con Hydra • Lanzamos el ataque con hydra, que tendrá las siguientes características: • 676 usuarios • 260 claves • 175.760 combinaciones • 4 tareas en paralelo, con 43.940 intentos por tarea • Para efectuar esta prueba hemos dado de alta un usuario y una clave muy cortos que además están casi al principio de ambos diccionarios, por lo que la práctica finalizará en un tiempo razonable. Si el usuario y la clave estuvieran en la parte final de ambos diccionarios, el tiempo de la prueba superaría las 100 horas. • La longitud de las claves y la complejidad de las mismas (números, símbolos, mayúsculas) multiplicará enormemente el número de combinaciones a probar y complicará muchísimo el proceso, de ahí que resulte crucial usar claves fuertes en el día a día para nuestras aplicaciones importantes. 10 11 Ejecución del Ataque con Hydra • Al haber finalizado pronto el ataque, hemos cortado el proceso con CTRL-C, no obstante, si hubiera que reanudarlo en un momento dado, bastaría con volver a lanzar el comando de hydra en el mismo directorio, pues el proceso abortado ha dejado un fichero que indica hasta dónde ha avanzado la tarea, para continuarla en caso de necesidad. • Los resultados de la tarea se van almacenando en el fichero resultados.txt. 12 Preparación de la Máquina Objetivo • Una vez preparadas las herramientas de ataque y comprobada su efectividad y funcionalidad, pasamos a configurar el IDS del entorno objetivo. Máquina IDS • En primer lugar, instalamos Snort sobre Raspbian ejecutando la secuencia clásica de comandos: sudo apt-get update sudo apt-get upgrade sudo apt install snort 13 Configuración de Inicio, Arranque y Parada de Snort Al finalizar el proceso anterior, Snort quedará instalado como un servicio del sistema, por lo que se podrá controlar su funcionamiento con el comando systemctl con las opciones siguientes: • enable. Habilita el arranque de Snort en el inicio de la máquina. • disable. Inhabilita el arranque de Snort en el inicio de la máquina. • start. Arranca Snort en cualquier momento. • stop. Detiene Snort en cualquier momento. • status. Muestra el estado de ejecución de Snort. sudo systemctl [opción] snort 14 Configuración de Inicio, Arranque y Parada de Snort • En la captura adjunta se puede observar que Snort estaba parado. • Procedemos a arrancarlo con start. • Chequeamos su estado con status y vemos que ya está arrancando. • En caso de que hubiera problemas de arranque desde el comando de servicio, también se puede arrancar Snort con el comando siguiente: sudo snort -i eth0 -c /etc/snort/snort.conf & 15 Configuración de Snort para Detección de Tráfico ICMP (Ping) • Desde el momento en el que arranca, Snort empieza a grabar alertas en su fichero de log /var/log/snort_alerts.log puesto que, aunque hayamos programado una regla local para nuestra práctica, el programa arrancará además con todas las reglas recomendadas por la Comunidad Snort, para detectar todos los ataques conocidos hasta el momento. Es conveniente borrar o salvaguardar este fichero antes de rearrancar la aplicación. • Los ficheros que contienen dichas reglas adicionales se encuentran en el mismo directorio que nuestro fichero, como se puede ver en la captura adjunta. 16 Torre de Protocolos ISO-OSI Se trata de un modelo que define una torre o pila de protocolos (Protocol Stack) multicapa, que se estructura en siete niveles: • Capa Física. Define el HW de conexión física. • Capa de Enlace de Datos. Controla la transferencia de datos en la red, mediante protocolos de bajo nivel. • Capa de Red. Introduce el direccionamiento y la comunicación entre diferentes redes. • Capa de Transporte. Introduce el concepto de Integridad, asegurando que los datos no se deterioran durante la transferencia. • Capa de Sesión. Incorpora el concepto de sesión, esto es inicio, desarrollo y fin de la transmisión. • Capa de Presentación. En esta capa se asegura que la información se transfiera de forma comprensible para el sistema. • Capa de Aplicación. Se compone de los servicios y aplicaciones de comunicación estándar a disposición de cualquier usuario. 17 Configuración de Snort para Detección de Tráfico ICMP (Ping) SSH: Protocolo Cifrado de Aplicación, Presentación y Sesión TCP: Transport Control Protocol, CONS (orientado a conexión) IP: Internet Protocol. Protocolo de Red. Dirección IP. 192.168.1.30 Medios Físicos y protocolos de enlace de datos (ethernet, WLAN, etc.). MAC Address. 00:1B:44:11:3A:B7 • Posición del Protocolo ICMP en la Torre de Protocolos Fuente: pinterest.com.mx 18 Construcción de Reglas para Snort Una regla Snort se compone de la forma siguiente: • Header • • • • • • • Acción de la regla Protocolo Direccion IP origen Puerto IP origen Dirección de la operación Direccion IP destino Puerto IP destino • Trailer • Mensaje • Opciones www.snort.org Manual de Usuario de Snort 19 Ejemplo de Regla Snort para Protocolo TCP Regla: alert tcp 192.168.1.200 any -> $HOME_NET any (msg:"Trafico TCP desde Claudia"; sid:666003;) • Header • • • • • • • Acción de la regla Protocolo Direccion IP origen Puerto IP origen Dirección de la operación Direccion IP destino Puerto IP destino Alerta TCP 192.168.1.200 Cualquiera De 200 a nuestra red local (cualquier dirección de esta red) 192.168.1.0 Cualquiera • Trailer • Mensaje • Opciones Tráfico TCP desde Claudia Identificador de la regla (666003) 20 Configuración de Snort para Detección de Tráfico ICMP (Ping) • Grabaremos una regla para detectar tráfico ICMP (ping) en el fichero de configuración de Snort: /etc/snort/rules/local.rules • Tras rearrancar la aplicación, podremos comprobar la grabación de reglas en tiempo real mediante el comando “tail –f” sobre el fichero /var/log/snort_alerts.log # Regla para detectar un ping (ICMP) alert icmp any any -> $HOME_NET any (msg:"¡Trafico ICMP!"; sid:3000001;) 21 Detección de Tráfico ICMP (Ping) • Si visualizamos en vivo con tail –f el fichero de log y hacemos ping desde otra máquina, veremos que se detecta perfectamente el ping, indicando además desde qué dirección se está haciendo (se verán los pings de todas las máquinas a este host, incluido el router). 22 Configuración de Snort para Detección de Tráfico SSH • SSH significa “Secure Shell”, esto es, sesión segura. Es el protocolo que se usa en la actualidad en lugar del protocolo telnet, que es obsoleto e inseguro. Ocurre lo mismo con SFTP (Secure File Transfer Protocol), que es el sustituto del antiguo protocolo ftp. • Este es el protocolo que se utiliza para abrir sesiones en máquinas remotas, por lo que normalmente también es el empleado para los Ataques con Fuerza Bruta o con Diccionario, como es el caso del ataque que hemos preparado previamente con Hydra. • A continuación pararemos Snort, modificaremos su fichero de configuración, dejando como comentario la regla detectora de ICMP del ejemplo anterior para no abarrotarlo de información, y activaremos una regla detectora de SSH. • Tras grabar la regla, limpiaremos el fichero de log, rearrancaremos Snort, abriremos dos terminales y lanzaremos el ataque con Hydra. 23 Configuración de Snort para Detección de Tráfico TCP (SSH) • Posición del Protocolo SSH en la Torre de Protocolos SSH: Protocolo Cifrado de Aplicación, Presentación y Sesión TCP: Transport Control Protocol, CONS (orientado a conexión) IP: Internet Protocol. Protocolo de Red. Dirección IP. 192.168.1.30 Medios Físicos y protocolos de enlace de datos (ethernet, WLAN, etc.). MAC Address. 00:1B:44:11:3A:B7 • Posición del Protocolo TCP en la Torre de Protocolos Fuente: pinterest.com.mx 24 Configuración de Snort para Detección de Tráfico SSH • Exterminio de los procesos de Snort y vaciado del log antes del rearranque 25 Configuración de Snort para Detección de Tráfico SSH • Adición de la regla de detección de tráfico TCP para apertura de sesiones por SSH. 26 Configuración de Snort para Detección de Tráfico SSH • Rearranque de Snort. 27 Configuración de Snort para Detección de Tráfico SSH • Lanzamiento del ataque de Hydra desde la máquina Kali. 28 Configuración de Snort para Detección de Tráfico SSH • En el fichero de log de Snort se puede ver que se registran los miles de ataques de Hydra, desde diferentes puertos de la máquina Kali, pues hemos arrancado varios procesos de ataque. 29 Snort como un IPS • Para activar Snort como un IPS, se deberá disponer de una máquina con dos interfaces de red (eth0 y eth1). • Normalmente, en una máquina de este tipo, se encontrará configurado un bridge entre las dos interfaces para transferir paquetes entre las dos redes unidas por la máquina, que habrá que desactivar antes de arrancar Snort en modo inline. • Una vez configuradas las opciones necesarias para arrancar Snort en modo IPS, las reglas de rechazo de tráfico serán de la siguiente forma: drop tcp 192.168.1.52 any -> $HOME_NET any (msg:"ATAQUE HYDRA";sid:3000003) • Con esta instrucción se descartarán los paquetes tcp procedentes de cualquier Puerto de la IP indicada que se dirijan a la red interna, registrando el evento en el log de alertas con el texto indicado. Existen diversas posibilidades de tratamiento, que se pueden estudiar en el manual de Snort. 30 Bibliografía • www.kali.org • www.github.com • www.snort.org • https://github.com/vanhauser-thc/thc-hydra • www.incibe.es 31